Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. 
Tento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂
Nastavení Iptables
Nastavíme v Iptables logovací filtr a následně tento útočný požadavek zahodíme:
# iptables -I INPUT -p tcp -m tcp --dport 443 -m u32 --u32 \ 0x34=0x18030000:0x1803ffff -j LOG --log-prefix "BLOKUJI HEARTBLEED: " # iptables -I INPUT -p tcp -m tcp --dport 443 -m u32 --u32 \ 0x34=0x18030000:0x1803ffff -j DROP
Druhé pravidlo nám m.j. zajistí provizorní ochranu v případě, že z nějakého důvodu není možná aktualizace zranitelné verze OpenSSL.
Zjištění IP adres útočníků
Vyčkejte alespoň několik hodin. Ze syslogu si zjistíte utočníky následovně:
# cat /var/log/messages* |grep HEART |awk -F " " '{print $11}' \
|awk -F "=" '{print $2}' |sort -u
101.226.14.146
101.226.14.149
101.226.17.51
103.10.197.50
130.149.221.188
182.118.55.178
182.118.60.14
54.72.69.113
#
Vida je, darebáky … Pokud vám stačí jen jejich počet:
# cat /var/log/messages* |grep HEART |awk -F " " '{print $11}' \
|awk -F "=" '{print $2}' |sort -u |wc -l
8
#
To je pro dnešek vše. 🙂